【摘 要】
:
近年来,容器因为其轻量、灵活和快速部署等特点被业界广泛应用,成为云时代的基础虚拟化技术。然而,容器的资源隔离机制、内核共享特性以及其镜像源的开放态度在便捷用户的同时也埋下了巨大的安全隐患。随着新型容器漏洞、容器逃逸方法、针对容器的攻击手段等容器安全问题的逐渐揭露,业界为保证自身业务的安全与稳定对于容器应用产生恐慌,容器安全恐成云时代来临的巨大阻碍,针对容器场景的入侵检测技术研究迫在眉睫。系统调用轨
论文部分内容阅读
近年来,容器因为其轻量、灵活和快速部署等特点被业界广泛应用,成为云时代的基础虚拟化技术。然而,容器的资源隔离机制、内核共享特性以及其镜像源的开放态度在便捷用户的同时也埋下了巨大的安全隐患。随着新型容器漏洞、容器逃逸方法、针对容器的攻击手段等容器安全问题的逐渐揭露,业界为保证自身业务的安全与稳定对于容器应用产生恐慌,容器安全恐成云时代来临的巨大阻碍,针对容器场景的入侵检测技术研究迫在眉睫。系统调用轨迹数据是进程在系统层面最直接的行为映射,也是一直以来容器入侵检测中最细粒度的数据来源。同时,机器学习与深度学习领域的快速发展为基于系统调用数据的容器入侵检测技术赋予了新的活力。现阶段基于系统调用数据的容器入侵检测研究仍面临以下几个问题:(1)容器进程产生的系统调用轨迹数据量极大且包含大量冗余信息,现有入侵检测模型对于系统调用数据的特征抓取能力变弱,模型准确性较差。(2)一直以来缺乏一种行之有效的实时异常检测方法以应对在容器进程生命周期内的突发攻击活动,现有容器入侵检测方法实时性不强。(3)现有容器入侵检测方法在实际应用中缺乏足够的鲁棒性,在面对部署环境快速变化、针对模型的攻击事件发生时其检测性能均会降低甚至失灵。针对以上问题,本文通过对容器入侵检测技术研究现状进行分析,并对系统调用数据的预处理和模型训练等重要环节进行深入研究,旨在利用机器学习与深度学习技术提高容器环境下基于系统调用数据的入侵检测能力,增强容器的异常检测性能,成为容器安全稳定运行的有力保障。本文的主要研究成果如下:1.针对容器进程产生的系统调用轨迹数据过长导致入侵检测模型特征提取能力下降,准确性差的问题,提出一种融合图卷积与深度全连接网络的容器入侵检测模型。在该模型中,首先对训练数据进行数据增强以提升数据的特征表达能力。然后基于概率切分规则得到系统调用轨迹的短序列特征表示、并在原有系统调用序列的图表示方法的基础上增加了边权重信息,得到与系统调用轨迹长度无关的局部语义与总体图结构联合特征。最后设计图神经和深度全连接融合网络自动获取特征并输出入侵检测结果。在ADFA-LD与AWSCTD数据集上的实验表示,该模型在保证低误报率(3%与4%)的同时具有高入侵检测准确率(96.5%与95.4%),另外,实验表明此模型具有更好的泛化性。2.针对在面对突发网络攻击活动时,现有容器入侵检测模型难以即时预警,检测实时性差的问题,提出一种实时性增强容器异常检测方法。首先在基于完整轨迹数据与随机森林模型的容器入侵检测一般流程中添加轨迹切片与处理模块,通过对系统调用数据流切片的方式将模型入侵检测的时间点提前,然后基于集成学习思想分别构建系统调用轨迹片段与完整轨迹的异常检测模型并将其结果进行有机结合,同时设置各个模型的更新反馈回路。在ADFA-LD数据集上的实验表明,该方法不仅对原来一般检测流程的异常检测准确率有所提升(达到99.3%),同时也实现了针对突发攻击活动的高实时性容器异常预警功能暨在异常行为开始后的相当短时间间隔内即可检测出异常。3.针对现有容器入侵检测模型在实际应用中因部署环境变化或攻击事件发生等情况导致的检测性能下降,缺乏鲁棒性的问题,提出基于多条检测流的鲁棒容器入侵检测方法。首先基于系统调用的三种数据格式分别设置三条检测流并在其中嵌入数据预处理、模型训练代理、输入代理等组件。然后通过集成判决模块将以三种数据格式系统调用数据为基础训练的半监督学习模型、无监督学习模型、有监督学习模型三类模型的判决结果进一步进行结合。最后,通过数据库更新机制增强模型训练集与实际环境的跟随特性,进一步提升本入侵检测方法在实际应用环境中的鲁棒性。在数据集与实际应用环境中的实验表明,本文所提出方法在面对数据投毒攻击时检测性能几乎不变,在实际应用中检测性能随环境变化产生波动但最后仍能回到较高水平,具有强鲁棒性。
其他文献
互联网时代,用户从海量的网络服务中选择符合自己需求的服务,无异于大海捞针,而个性化的Web服务推荐技术和方法能够解决这一难题。然而,移动设备的激增导致具有相似或相同功能的服务越来越多,影响了用户体验。因此,用户更感兴趣的是服务的响应时间和可靠性。服务质量(Quality of Service,QoS)是一个衡量Web服务非功能性能的属性,是个性化服务推荐的一个重要标准。但是,现有的基于QoS预测的
随着近年来云计算、人工智能、高性能计算等领域应用增多,数据中心对计算资源的需求水涨船高。除CPU资源外,图形处理器(GPU)资源凭借其高带宽、高主频和优异的并行计算能力等特性成为另一种优质计算资源。由于GPU资源价格普遍较高,使其成为不同计算应用场景中的稀缺性资源,围绕它的调度也成为业内重点研究方向。目前在GPU资源调度上的研究多局限于单一平台,但当前数据中心往往会部署针对不同领域的多种平台,由于
近年来,我国的超算事业迎来了飞速发展,超级计算机已经成为推动科技创新发展的一个重要工具。然而,用户对超算算力的需求迅猛增长,日益涌现的新型计算服务也对计算规模、时延、灵活性等方面提出了严格要求。多超算中心互联出现,能够解决上述问题。多超算中心互联可以整合跨地域超算中心的计算资源和存储资源,能够高效组织跨地域的多个超算为用户提供多样化算力服务,是支撑高质量计算服务的重要途径。但如何在多超算中心互联系
随着网络应用的不断发展,多种新型网络技术相继涌现,极大丰富了用户的用网需求。面向多样化网络应用,不同新型网络协议的适用场景和安全需求各不相同。针对不同网络的差异化安全转发需求,面向特定场景的个性化安全转发机制往往能最大限度的保障数据的机密性和完整性。然而,不同网络协议对安全转发的需求差异较大,传统加密机制无法适用所有新型网络协议,如何实现灵活、可定义的安全转发技术成为当前研究热点。可编程数据平面以
随着物联网、车联网等技术的出现和应用,以内容为中心的命名数据网络(Named Data Networking,NDN)因其具有的网内缓存、高效数据分发等关键技术,已成为新型网络架构领域的研究热点。TCP/IP协议根植于现有的网络设备,使与IP架构通信过程不同的NDN在实际网络环境中部署存在兼容性问题。可编程交换芯片和高级数据平面编程语言的出现,使网络管理员可以自定义网络协议和转发处理逻辑,提高数据
随着未来计算机微处理器朝着众核处理器方向的发展,以及大规模机群的不断出现,基于异构平台的混合并行编程在今后的大规模并行应用中必将成为主流。在多核体系上,传统的并行编程技术并不能高效地适用,针对多核集群的特殊体系结构,研究相应的编程模型和并行编程技术使其具有更高的性能,具有普遍的研究意义。此外,对超算用户而言,不同架构之间的程序移植带来的编程工作量是巨大的,直接影响了工作效率。通过神威·太湖之光超级
随着互联网的不断发展,大数据、人工智能、5G正在兴起并方便着人类生活的各方各面,数据中心作为信息的载体如雨后春笋般发展起来,呈现数量规模同时上升趋势。科技的发展使发热元件单位面积热流密度不断增大,对数据中心的冷却系统带来了巨大的挑战。传统的风冷、水冷散热方式难以满足高热流密度数据中心的散热需求,浸没式相变液冷以其低能耗、高效率、噪音小等优势受到人们的青睐。浸没式相变散热系统主要是将发热元件浸泡在液
随着信息技术的飞速发展,实时控制、沉浸式交互、边缘计算等应用领域提出了低时延、低抖动的确定性传输需求,未来网络中将会衍生出更多毫秒级乃至微秒级时延的业务需求,在这些对数据传输具有高要求的场景的需求驱使下,数据的实时可靠性传输变得极为重要。然而传统以太网采用的尽力而为分组转发机制具有长尾时延效应,难以满足上述时间敏感业务场景中的有界低时延需求。时间敏感网络(Time-Sensitive Networ
随着5G通信和物联网技术的快速发展,终端设备产生的大量关键数据通过网络传输至算力更强的计算终端。由于终端设备受限于紧张的计算资源、有限的存储空间等问题,传统的密码技术部署方案无法很好地部署在终端设备上。RISC-V指令集因为其短小精悍的架构和模块化的的设计理念成为专用领域架构的首选。通过向基于RISC-V架构的通用处理器中添加密码运算单元,使处理器在不失通用性的同时,还获取了较高的密码运算性能。本
随着互联网技术的快速发展以及大数据、云计算、人工智能、物联网等新兴技术的出现,全球数据总量出现爆发式增长,海量的数据被产生、传输、存储和计算。为了满足用户日益增长的网络带宽需求,以太网迎来飞速发展。早在2006年,IEEE802.3ba提出了100G以太网标准,以太网迈入百G超高速时代。从2006年首次提出了100G标准,到2020年第一个800G规范的出现,以太网日新月异的传输速率推动了物联网、